O NIST AI RMF é o framework de referência para o desenvolvimento e a implementação responsável de inteligência artificial nos Estados Unidos. Publicado em janeiro de 2023 pelo National Institute of Standards and Technology, oferece às organizações uma metodologia prática e orientada ao ciclo de vida para identificar, avaliar e gerir os riscos associados aos sistemas de IA. Para equipas de conformidade que operam tanto no mercado norte-americano como no espaço económico europeu, constitui também uma base fundamental para satisfazer as obrigações do Regulamento Europeu de Inteligência Artificial. Este guia explica o que é o framework, como funcionam as suas quatro funções principais e como mapeá-lo em relação aos artigos do Regulamento de IA da UE e aos requisitos da norma ISO 42001.
O que é o NIST AI RMF?
O NIST AI Risk Management Framework (designação: NIST AI 100-1) foi publicado a 26 de janeiro de 2023. Foi desenvolvido ao abrigo do National AI Initiative Act de 2020, que encarregou o NIST de produzir um framework capaz de ajudar as organizações a “gerir melhor os riscos para os indivíduos, as organizações e a sociedade associados à IA.”
O processo de desenvolvimento foi extraordinariamente aberto: mais de 240 organizações contribuíram através de workshops, ciclos de comentários públicos e grupos de trabalho ao longo de 18 meses. O resultado é um documento que reflete as preocupações reais dos profissionais do setor.
Características essenciais do NIST AI RMF:
- Voluntário e flexível: não é uma regulamentação, não é uma norma de certificação e não impõe práticas específicas
- Orientado ao ciclo de vida: aplica-se a sistemas de IA ao longo de todo o seu ciclo de vida, desde a conceção até ao descomissionamento
- Agnóstico em termos de organização: concebido para qualquer setor, qualquer dimensão de organização e qualquer tipo de sistema de IA
- Orientação sociotécnica: “os sistemas de IA são de natureza sociotécnica, o que significa que as ameaças não são apenas técnicas, legais ou ambientais, mas também sociais”
As quatro funções principais: GOVERN, MAP, MEASURE, MANAGE
O núcleo do NIST AI RMF são as suas quatro funções. Não são fases sequenciais a completar uma única vez: são atividades contínuas e iterativas que interagem ao longo de todo o ciclo de vida de um sistema de IA. GOVERN é transversal e sustenta as outras três.
GOVERN
GOVERN estabelece os alicerces organizacionais para a gestão de riscos de IA. Abrange políticas, estruturas de responsabilidade, competências da força de trabalho e a cultura organizacional necessária para uma IA responsável. As atividades de GOVERN incluem a definição de papéis e responsabilidades para o risco de IA, a criação de processos para identificar e declarar os usos de IA, a definição de tolerâncias ao risco e a criação de mecanismos de escalada.
Sem GOVERN, MAP, MEASURE e MANAGE tornam-se atividades pontuais sem sustentabilidade institucional.
MAP
MAP trata da compreensão do contexto: que sistema de IA está a ser construído ou implementado, para quem, em que condições e com que riscos. As atividades de MAP incluem a identificação dos usos previstos e das populações afetadas, a avaliação do contexto de implementação, a categorização dos tipos de riscos e a identificação dos intervenientes.
MAP produz o inventário de riscos sobre o qual as outras funções trabalham. É a fase de diagnóstico: exaustiva e contextual.
MEASURE
MEASURE operacionaliza a avaliação de riscos. Fornece as ferramentas, métricas e processos para quantificar os riscos de IA e avaliar a fiabilidade dos sistemas. As atividades de MEASURE incluem testes de viés, avaliação da precisão e robustez dos modelos, avaliação da qualidade dos dados, monitorização da deriva e aplicação de técnicas de explicabilidade.
Um ponto fundamental: MEASURE não é um teste único antes da implementação. Abrange todo o ciclo de vida.
MANAGE
MANAGE cobre o tratamento de riscos e a governança contínua. Uma vez identificados (MAP) e avaliados (MEASURE), os riscos são tratados em MANAGE: aceitar, evitar, mitigar ou transferir. MANAGE abrange também a resposta a incidentes, a documentação de riscos residuais e os processos de correção de viés.
As sete características de fiabilidade
O NIST AI RMF organiza os riscos de IA em torno de sete características de fiabilidade que definem as propriedades que um sistema de IA de confiança deve apresentar.
| Característica | Significado |
|---|---|
| Seguro | O sistema não produz resultados que causem danos físicos, psicológicos ou financeiros |
| Seguro e resiliente | O sistema resiste a ataques e recupera rapidamente |
| Explicável e interpretável | Os resultados podem ser compreendidos e explicados por operadores e partes afetadas |
| Responsável e transparente | Existe responsabilidade clara pelas decisões de IA; a existência da IA é divulgada |
| Justo com viés gerido | O sistema não prejudica sistematicamente grupos protegidos |
| Protetor da privacidade | O sistema respeita a minimização de dados e os direitos de privacidade |
| Fiável e preciso | O sistema funciona de forma consistente e cumpre padrões de precisão nos contextos de uso previstos |
NIST AI RMF e o Regulamento de IA da UE: O mapeamento artigo por artigo
Este é o mapeamento que nenhum artigo concorrente fornece. Para as organizações sujeitas ao Regulamento de IA da UE, o NIST AI RMF não é apenas um complemento útil: gera os artefactos documentais específicos necessários para a conformidade.
Os requisitos obrigatórios do Regulamento de IA da UE para sistemas de IA de alto risco (Título III, Capítulo 2) são plenamente aplicáveis desde 2 de agosto de 2026.
GOVERN corresponde ao Artigo 17 (Sistema de gestão da qualidade)
O Artigo 17 exige que os prestadores de sistemas de IA de alto risco “estabeleçam um sistema de gestão da qualidade” que abranja a gestão de riscos, a governança de dados, a documentação técnica, a transparência, a supervisão humana e o acompanhamento pós-comercialização. GOVERN no NIST AI RMF estabelece exatamente as políticas organizacionais, estruturas de responsabilidade e processos de governança que constituem um sistema de gestão da qualidade.
MAP corresponde ao Artigo 9 (Sistema de gestão de riscos)
O Artigo 9 exige que os prestadores “estabeleçam, implementem, documentem e mantenham um sistema de gestão de riscos” para sistemas de IA de alto risco. MAP no NIST AI RMF é exatamente esse processo: identificação e categorização estruturada dos riscos de IA no contexto de implementação.
O NIST publicou um mapeamento oficial entre o AI RMF 1.0 e a proposta de Regulamento de IA da UE no momento do lançamento do framework em janeiro de 2023.
MEASURE corresponde aos Artigos 9.6 e 72
O Artigo 9.6 exige que os testes “sejam realizados ao longo de todo o processo de desenvolvimento e, em qualquer caso, antes da colocação no mercado.” O Artigo 72 impõe um sistema de monitorização pós-comercialização para sistemas de IA de alto risco. MEASURE no NIST AI RMF abrange tanto os testes pré-implementação como a monitorização pós-implementação.
MANAGE corresponde aos Artigos 9.7 e 9.8
O Artigo 9.7 exige a documentação dos riscos que não podem ser eliminados ou adequadamente mitigados. O Artigo 9.8 impõe protocolos específicos de teste de viés. MANAGE no NIST AI RMF é a função de tratamento de riscos: documentação de decisões e implementação de controlos, incluindo a correção de viés.
Implicação prática: Uma organização que implementa completamente o NIST AI RMF e documenta as suas atividades satisfaz aproximadamente 60-70% dos requisitos para sistemas de IA de alto risco ao abrigo do Regulamento de IA da UE. A lacuna restante diz principalmente respeito aos procedimentos de avaliação da conformidade, ao envolvimento de organismos notificados e à marcação CE.
NIST AI RMF vs. ISO 42001: Diferenças e sinergias
| Dimensão | NIST AI RMF | ISO/IEC 42001 |
|---|---|---|
| Tipo | Framework voluntário | Norma de sistema de gestão certificável |
| Âmbito | Metodologia de gestão de riscos de IA | Requisitos de sistema de gestão de IA |
| Certificação | Sem percurso de certificação | Certificação de terceiros disponível |
| Origem geográfica | EUA (NIST) | Internacional (ISO/IEC JTC 1) |
A abordagem mais eficaz utiliza a ISO 42001 como framework de governança e o NIST AI RMF como metodologia de risco dentro desse framework. Para as organizações que procuram a certificação ISO 42001, a implementação prévia do NIST AI RMF acelera significativamente o processo.
NIST AI 600-1: O Perfil de IA Generativa
A 26 de julho de 2024, o NIST publicou o NIST AI 600-1, o Perfil de IA Generativa do AI RMF. Este documento alarga o framework principal para abordar os riscos específicos introduzidos pelos sistemas de IA generativa, identificando 12 categorias de risco específicas e fornecendo mais de 200 ações recomendadas. Para as organizações reguladas pela UE, o NIST AI 600-1 é o equivalente norte-americano do Código de Conduta GPAI da UE.
O Playbook NIST AI RMF: Da teoria à prática
O Playbook AI RMF é o guia de implementação complementar do framework, atualizado pela última vez a 1 de março de 2024. Fornece ações sugeridas para cada uma das 72 subcategorias do framework principal e está disponível em formato PDF, CSV, Excel e JSON.
Implementar o NIST AI RMF: Por onde começar
Para as organizações que iniciam a implementação, uma sequência de cinco etapas oferece um ponto de partida alcançável: (1) inventariar e categorizar os sistemas de IA, (2) estabelecer as políticas GOVERN, (3) aplicar MAP a cada sistema de IA, (4) MEASURE a fiabilidade segundo as sete características, (5) MANAGE com planos de tratamento documentados.
As organizações não precisam de implementar todas as funções simultaneamente. Começar com GOVERN e MAP para os sistemas de IA de maior risco é uma abordagem pragmática.
Limitações do NIST AI RMF para as organizações reguladas pela UE
O NIST AI RMF não oferece percurso de certificação, mecanismo de aplicação nem rota para a marcação CE. Para as organizações que operam na UE, o NIST AI RMF é a camada metodológica de gestão de riscos, não a solução de conformidade regulatória. Deve ser complementado com a ISO 42001, procedimentos de avaliação da conformidade específicos do Regulamento de IA da UE e conformidade com o RGPD.
Perguntas frequentes
O que é o NIST AI RMF? O NIST AI RMF (NIST AI 100-1) é um framework voluntário publicado em janeiro de 2023 que fornece uma metodologia estruturada para identificar, avaliar e gerir os riscos associados a sistemas de IA, organizada em torno de quatro funções e sete características de fiabilidade.
Qual é a diferença entre a ISO 42001 e o NIST AI RMF? A ISO 42001 é uma norma de sistema de gestão de IA certificável. O NIST AI RMF é um framework voluntário de gestão de riscos sem percurso de certificação. A abordagem mais eficaz combina ambos.
A implementação do NIST AI RMF satisfaz os requisitos do Regulamento de IA da UE? Parcialmente: para os Artigos 9, 17, 9.6 e 72, sim. No entanto, não cobre os procedimentos de avaliação da conformidade, a marcação CE nem os requisitos de organismos notificados exigidos para sistemas de IA de alto risco.